文/羅正漢
2025年9月1日
回顧2025年8月底的資安新聞,中國政府支持駭客持續攻擊全球關鍵基礎設施的消息不斷,這一星期有3則消息受到全球關切,涵蓋國家網路安全機構與資安業者的重要揭露。
(一)美、日、德、荷蘭、西班牙、義大利等13國的情報與安全機構,對中國駭客攻擊關鍵CI狀況發布聯合公告示警,特別解析其攻擊手法並提供防禦建議,同時更點名三家中國企業協助中國情報部門,並涉入攻擊全球的駭客行動。其中,四川聚信和早在今年1月就遭美國財政部制裁,被指控直接參與Salt Typhoon的攻擊行動;另兩家企業,則為北京寰宇天穹和四川智信銳捷。。(二)資安業者CrowdStrike針對中國駭客組織Silk Typhoon的攻擊行動提出警告,指出該組織近期鎖定SaaS供應商的雲端環境,利用已知漏洞或零時差漏洞來入侵,還會竊取應用程式註冊金鑰以惡意存取用戶資料。(三)Google威脅情報小組揭露中國駭客組織UNC6384在今年3月的網路間諜活動,是鎖定東南亞外交官而來,手法是透過滲透目標網路的邊緣設備來偽造Captive Portal的機制來誘騙,最終目的是植入後門程式PlugX。
在資安事件方面,國內有兩起事件,上市公司康那香發布資安重訊,說明該公司與海外子公司的部分資訊系統遭到駭客攻擊;另一是Direwolf勒索軟體集團聲稱對台灣東洋國際儀表發動攻擊,此消息仍在持續追蹤中。
國際間的資安事故消息也不少,包括:勒索軟體Qilin聲稱入侵日產汽車旗下設計公司Creative Box,竊取4 TB規模的資料,日產證實有部分設計資料外流的情況。還有英國電信商Colt通報資料遭竊,以及法國Orange Group旗下比利時電信商Orange Belgium通報發生資料外洩。
在資安新興威脅方面,AI風險議題成為這一星期主要焦點,有多則新聞與之有關,其中AI Agent風險的揭露最引人注目,Brave安全團隊為了說明問題嚴重性,以概念驗證在Reddit發了一則暗藏惡意指令的貼文,一旦使用者利用Perplexity的Comet瀏覽器來總結頁面內容,被隱藏的指令就會被AI解讀為行動命令,誘使AI代理自動讀取Gmail內容並竊取信中OTP驗證碼,並透過回覆原始Reddit評論來將竊得資訊發布出去,而且這些動作都在背景執行,因為用戶完全不會察覺發現。
●瀏覽器業者Brave安全團隊發布一項研究,指出Perplexity的Comet瀏覽器在執行總結此頁等任務時,未妥善隔離指令與頁面,攻擊者可在留言藏指令。●資安業者ESET發現有攻擊者濫用AI生成惡意程式碼的勒索軟體PromptLock,目前研判並非實作作案工具,可能是概念驗證或正在開發中的勒索軟體。●OpenAI與Anthropic互相揭露對方的模型安全問題,OpenAI指出Anthropic的Claude模型有吹哨者傾向,可能在模擬企業犯罪情境下主動揭露機密;Anthropic則發現OpenAI的GPT‑4o與GPT‑4.1模型更容易協助有害請求,如製毒、恐攻計畫與非法交易。雙方認為,這項合作有助於補足自身可能忽略的盲點。
在資安防禦方面,國內有一則應用AI打詐的新構想正發展,是內政部黑客松舉辦AI應用競賽中,警政署刑事局的參賽團隊提出AI應用的新發想,目標是結合第一線偵查員警辦案經驗,用AI找出可疑的數位帳戶預警資料,以提供給銀行KYC確認,目前預估有82%的精確率,可降低70%的詐騙金流損失。
【8月25日】中國駭客Silk Typhoon透過雲端環境發動供應鏈攻擊
今年3月微軟針對中國駭客組織Silk Typhoon(別名Hafnium、Murky Panda)的手法提出警告,指出這些駭客從去年開始鎖定雲端環境而來,最近資安業者CrowdStrike也公布相關調查結果,指出駭客主要的目標,是北美的政府機關和企業組織。 8月上旬法國電信業者Orange、英國電信業者Colt傳出資料外洩事故,到了上週末兩家業者都公布新的消息;而在國內的資安事故,傳出勒索軟體Qilin從外籍移工仲介業者統振竊取個資的情況,此外,不織布康那香發布重訊指出,有資訊系統遭到攻擊。
除此之外,SharePoint零時差漏洞CVE-2025-53770(ToolShell)的攻擊行動仍持續發生,上週傳出有新的受害組織,其中之一是英國電信業者Colt Technology Services,另一個苦主是加拿大眾議院。
【8月26】散布Linux後門出現透過檔案名稱搭Bash指令碼的新手法
近期Linux惡意程式的攻擊行動不時傳出,但最近有一起資安事故的揭露相當引人關注,原因是駭客運用的手法極為不尋常,無論是防毒軟體、靜態分析工具,抑或是行為分析工具,都難以直接將這種手法視為有害,而有機會繞過大部分的防禦機制。
針對macOS用戶而來的竊資軟體攻擊行動也相當值得留意,有資安業者在最近2個月發現名為Shamos的惡意軟體頻頻發動攻擊,估計至少有超過300家企業組織受到影響;再者,AI瀏覽器的資安議題也持續受到關注,上週資安業者Guardio警告生成式AI整合到瀏覽器可能會帶來的風險,標榜隱私及安全性的瀏覽器業者Brave,也在實作特定功能的過程裡,找到AI業者Perplexity旗下瀏覽器的資安弱點。
【8月27日】中國駭客鎖定東南亞外交官從事AiTM網釣
隨著國際局勢日益緊張,這幾年中國駭客隨著政府外交政策從事網路間諜活動的事故不時傳出,例如:被稱為Mustang Panda中國駭客組織,隨著政府的外交政策,將目標轉向了臺灣和蒙古;去年8月駭客組織MirrorFace開始對歐洲外交單位發動攻擊,目標是想要參加今年4月舉辦的世界博覽會與會人士,如今又有駭客組織UNC6384專門針對外交官而來,動機疑似配合中國的戰略利益。
發生在另一個臨近國家的資安事故,也值得關注。我們才報導國內上櫃公司統振傳出遭到勒索軟體駭客組織Qilin攻擊,但上週這些駭客也聲稱對日本汽車大廠日產(Nissan)旗下的設計公司下手,日產亦證實有設計資料外流的情況。
近期應用程式系統遭到多組駭客鎖定、挖掘零時差漏洞的現象,今年上半SAP NetWeaver算是最大的苦主,但現在駭客似乎將焦點逐漸轉向Citrix NetScaler:本週該公司揭露遭到利用的新漏洞,後續發展有待研究人員進一步揭露。
【8月28日】會用AI的勒索軟體PromptLock現身
論及今天關注程度最高的資安新聞,都與勒索軟體有關,其中又以資安業者ESET發現全球第一款導入生成式AI的勒索軟體PromptLock,最受到關注,雖然根據開發者使用的檔案加密演算法,以及收取贖金的加密貨幣錢包,ESET研判應該是研究人員打造的概念驗證(PoC),而非用於實際攻擊的武器,但這款勒索軟體的出現,代表駭客可能接下來會模仿這種手法,將生成式AI導入實際的作案工具。
另一方面,針對雲端環境從事勒索軟體攻擊的駭客組織Storm-0501,近期的活動也相當值得留意,原因是這些駭客不只藉由企業內部環境對雲端下手,更進一步將範圍延伸到同集團其他子公司的雲端環境。
【8月29日】刑事局運用AI從源頭阻斷詐騙人頭帳戶
臺灣詐騙橫行的現象,令人頭痛,政府要如何打擊詐騙,也成為全民關注的焦點,在最近內政部舉辦的「2025內政黑客松AI應用競賽」當中,警政署刑事局提出透過AI來識別人頭帳戶的做法,而這個發想的動機,就是他們在第一線打詐的過程裡,詐騙集團試圖以各種方式取得民眾的自然人憑證,然後拿來開設人頭數位帳戶,作為洗錢及詐騙金流的跳板。
在詐騙之外,網路釣魚攻擊事故也相當值得留意,以色列近日公布名為ShadowCaptcha的大規模網釣攻擊,這波攻擊活動至少進行了一年,且在全球各地造成災情,攻擊者藉此於受害電腦部署竊資軟體、挖礦軟體,甚至有從事勒索軟體攻擊的現象;另一則消息則顯示駭客從事網釣的門檻大幅降低,資安業者Proofpoint發現駭客濫用AI網站生成服務Lovable打造惡意網站,並在今年發現數波不同誘餌的網釣活動。